وب‌گاه ابزار Ammyy، مکانی مناسب برای پخش تروجان Lurk

محققان آزمایشگاه Kaspersky طی اخبار خود در روز دوشنبه گزارش دادند که مجرمان فعال در فضای مجازی با حمله و نفوذ به وبگاه رسمی ابزار مدیریت از راه دور معروف Ammyy، اقدام به واردکردن تروجان بانکداری Lurk و چندین برنامه مخرب دیگر به این وبگاه کرده‌اند. Lurk که یک تروجان بانکداری است، سابقاً برای حمله به شرکت‌های مالی روسی و همچنین چندین سازمان دیگر مورد استفاده قرارگرفته است. این تروجان از ۵ سال پیش فعالیت خود را شروع کرده است و کارشناسان تخمین می‌زنند که گروه‌های فعالیت‌های غیرقانونی در فضای مجازی با استفاده از این تروجان حدود ۴۵ میلیون دلار را به جیب زده باشند.

مقامات روسی نیز به تازگی ۵۰ نفر را که مظنون به استفاده از این تروجان هستند بازداشت کرده‌اند. طبق شنیده‌ها این بازداشت‌ها در کار کیت بهره‌برداری Angler نیز بی‌تأثیر نبوده است و باعث توقف فعالیت این کیت شده است.

تروجان Lurk معمولاً با استفاده از حملات watering hole وارد سامانه‌ها می‌شود. در این نوع حمله، یک وبگاه رسمی مورد حمله واقع و بدافزار به آن وارد می‌شود. در بسیاری از موارد، نفوذ گران از کیت‌های بهره‌برداری برای وارد کردن بدافزار استفاده می‌کنند، اما کارشناسان کشف کردند که در این مورد، یک نرم‌افزار برای این منظور مورد استفاده واقع‌ شده است.

محققان آزمایشگاه Kaspersky در این خصوص دریافتند که کاربران مورد حمله این تروجان، ابزار مدیریت از راه دور Ammyy را در رایانه‌های خود نصب ‌کرده‌اند. بررسی‌های بیشتر نشان داد که این تروجان در ابتدا در قالب یک پرونده با نام ammyysvc.exe در کنار برنامه نصب Ammyy و از وبگاه رسمی این برنامه، از اینترنت دریافت شده است.

محققان اولین بار در فوریه ۲۰۱۶ این تروجان را در وبگاه Ammyy مشاهده کردند. طراحان ابزار Ammyy بلافاصله در جریان قرار گرفتند و اقدام به پاک‌سازی وبگاه رسمی خود از این تروجان کردند، اما طراحان تروجان Lurk بار دیگر در آوریل اقدام به استفاده از این وبگاه کرده و نسخه تغییریافته تروجان Lurk را که برای حمله به شبکه‌های شرکتی مناسب بود وارد بخش‌های مختلف کردند. هنوز مشخص نشده است که طراحان این تروجان پس از پاک‌سازی وبگاه Ammyy به چه طریقی دوباره به آن دسترسی پیدا کرده‌اند، اما مشخص است که یا دسترسی آن‌ها حتی پس از پاک‌سازی برقرار بوده است یا دوباره اقدام به حمله و نفوذ به وبگاه کرده‌اند.

مسئولان شرکت Ammyy پس از این اتفاق بار دیگر اقدام به پاک‌سازی وبگاه شرکت خود کردند، اما محققان مدتی بعد در یکم ژوئن دریافتند که این بار این وبگاه موردحمله تروجان Fareit قرارگرفته است. طراحان شرکت Ammyy به تازگی بار دیگر اقدام به پاک‌سازی وبگاه خود از بدافزارها کرده‌اند و تاکنون خبر جدیدی از حمله جدید تروجان‌ها مخابره نشده است.

کارشناسان در این باره معتقدند که مجرمان حوزه فضای مجازی اساس کار خود را بر این قرار داده‌اند که مدیران در خصوص بروز تهدید در مورد محصولات شرکت‌ها، واکنش خاصی را نشان نمی‌دهند. کارشناسان در مورد تروجان Lurk معتقدند که مجرمان طراح این تروجان به طور قطع می‌دانند برنامه‌های ضدویروسی Ammyy در برابر تهدیدهای رخ‌داده به خوبی عمل نمی‌کنند، زیرا موارد متعددی مشاهده شده که در آن‌ها این ابزار برای اهداف خرابکارانه مورد سوءاستفاده واقع ‌شده است.

محققان Kaspersky از ماه فوریه فعالیت‌های این تروجان را در وبگاه Ammyy تحت نظر دارند و این در حالی است که شرکت ESET طی یک گزارش اعلام کرد که در نوامبر ۲۰۱۵ نیز وبگاه Ammyy توسط یک گروه مجرم با نام Buhtrap مورد سوءاستفاده واقع‌ شده است. این گروه از این وبگاه برای پخش کردن انواع بدافزارها استفاده کرده که برنامه دریافت‌کننده تروجان Lurk یکی از این بدافزارها بوده که در ماه اکتبر در این وبگاه مشاهده ‌شده است. این وبگاه علاوه بر این، مورد استفاده گروه‌هایی مانند Corebot ،Buhtrap ،Ranbyus و Netwire بوده است. برخی منابع نیز گزارش داده‌اند که این وبگاه از جولای ۲۰۱۵ به مکانی برای گروه‌های جرائم فضای مجازی تبدیل‌شده است.

واسیلی بردنیکوف، تحلیل‌گر بدافزارها در آزمایشگاه Kaspersky در این خصوص گفت: «استفاده از نرم‌افزارهای رسمی برای اهداف غیرقانونی، یک روش مناسب برای پخش کردن بدافزارها در بخش‌های مختلف است. مجرمان فضای مجازی با استفاده از این روش، قبل از هر چیز می‌توانند انتظارات کاربران از امنیت یک نرم‌افزار رسمی را تحت شعاع قرار داده و از اطمینان آن‌ها به شرکت‌ها و نرم‌افزارهای رسمی سوءاستفاده کنند. کاربران با دریافت و نصب یک نرم‌افزار از شرکت‌های طراحی معروف، دیگر تردیدی در مورد امنیت نرم‌افزار ندارند و تصوری هم مبنی بر مخرب بودن پرونده‌های جانبی آن نرم‌افزار نخواهند داشت. این مسئله خود باعث می‌شود که مجرمان به راحتی به اهداف خود دسترسی داشته باشند و از این طریق اهداف بیشتری را مورد حمله قرار دهند.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap